Cobalt Strike使用練習

# Cobalt Strike使用練習

使用cs4.2版本

## cs簡介

Cobalt Strike一款以Metasploit爲基礎的GUI（用戶圖形化界面）框架式滲透測試工具，集成了端口轉發、服務掃描，自動化溢出，多模式端口監聽，exe、powershell木馬生成等。
釣魚攻擊包括:站點克隆，目標信息獲取，java執行，瀏覽器自動攻擊等。
Cobalt Strike主要用於團隊做戰，可謂是團隊滲透神器，能讓多個攻擊者同時鏈接到團體服務器上，共享攻擊資源與目標信息和sessions。
Cobalt Strike 做爲一款協同APT(高級長期威脅)工具，針對內網的滲透測試和做爲apt的控制終端功能，使其變成衆多APT組織的首選。

## cs登陸

如今kali虛擬機下解壓文件，賦予解壓後文件夾權限給777權限，進入解壓後的文件運行終端

輸命令：./teamserver 192.168.3.36 qweqwe   //192.168.3.36是kali虛擬機的ip，qweqwe是等下客戶端的鏈接密碼


去w10客戶端運行cobaltstrike.bat文件，輸入剛剛設置的密碼，注意ip地址是kali的ip，端口默認是50050


登陸成功後的界面：

<img src="C:\Users\XXY\Desktop\培訓筆記\截圖\3.PNG" alt="3" style="zoom:60%;" />

注意：登陸的用戶名不能同樣，不然登陸不上去

## 建立監聽器





這裏cs版本之間的區別較大。上面圖是4.2的cs，下面圖是3.14的cs。payload區別:Beacon是ms能夠直接用，Foreign則是要聯合msf來用。填寫相關信息後提交，生成一個監聽器。


## cs攻擊模塊(Attacks)

### package內容

HTML Application  生成惡意的HTA木馬文件
MS Office Macro  生成office宏病毒文件
Payload Generator  生成各類語言版本的payload
USB/CD Autoplay  生成利用自動播放運行的木馬文件
Windows Dropper  捆綁器，可以對文檔類進行捆綁
Windows Executable  生成可執行exe木馬
Windows Executable (s)  生成無狀態的可執行exe木馬

- HTML Application(生成惡意的HTA木馬文件)


Attracks子菜單裏的HTML Application模塊，選擇剛剛建立的第一次這個監聽器，同時選擇PowerShell這個方法點擊Generate


選擇地方保存hta文件，上圖即成功生成木馬文件。將該文件發送到被攻擊w7虛擬機雙擊，可看到該機已上線。


若是沒有成功，能夠換另外的方法生成木馬文件進行嘗試。下線的步驟：右鍵，有一個session，裏面有一個remove，再去靶機刪除該進程，若是不刪除進程會反覆上線，爲後面的實驗形成干擾。

- Windows Executable  生成可執行exe木馬

一樣點到該模塊的建立界面，選中監聽器，選擇保存位置，成功建立


將生成好的木馬文件上傳到靶機，雙擊運行後靶機上線







### 靶機上線後簡單用法

上線後一排的介紹：pid爲靶機的進程編號，last爲刷新時間，默認爲60秒，即每隔60秒發送一次命令，能夠經過右鍵sleep處修改也能夠用下面的命令行修改

在下面輸命令的地方輸：shell whoami 便可看見信息









### Web Drive-by內容

Attacks-Web Drive-byManag  對開啓的web服務進行管理
Clone Site  克隆網站，能夠記錄受害者提交的數據
Host File  提供一個文件下載，能夠修改Mime信息
Scripted Web Delivery  相似於msf的web_delivery
Signed Applet Attack  使用Java自簽名的程序進行釣魚攻擊
Smart Applet Attack  自動檢測Java版本並進行攻擊
System Profiler  用來獲取一些系統信息,好比系統版本，瀏覽器版本等